Κέντρο ΠΛΗΝΕΤ Ν. Φλώρινας - Κρυπτογραφία και Ψηφιακή Υπογραφή

ΚΕΝΤΡΟ ΠΛΗ.ΝΕ.Τ. Ν. ΦΛΩΡΙΝΑΣ

Κρυπτογραφία και Ψηφιακή Υπογραφή

Ευχαριστούμε πολύ τους φίλους της Φλώρινας Νίκο Κυρλόγλου (nikoky at acci.gr) και Ξένια Πασσά (xenia at acci.gr) για την πολύτιμη βοήθειά τους

Τα Προβλήματα στην Ηλεκτρονική Επικοινωνία

Στο ηλεκτρονικό εμπόριο (e-commerce) αλλά και γενικότερα στις ηλεκτρονικές επικοινωνίες ένα από τα σημαντικότερα ζητήματα είναι αυτό της ασφάλειας των συναλλαγών. Αν η επικοινωνία δύο μερών γίνεται μέσω ενός κλειστού δικτύου, όπως είναι ένα τοπικό δίκτυο υπολογιστών (LAN), το πρόβλημα της ασφάλειας των συναλλαγών είναι σαφώς μειωμένο καθώς ο φορέας που λειτουργεί και ελέγχει το δίκτυο μπορεί σχετικά εύκολα να εντοπίσει τις τυχόν παρεμβολές ή και υποκλοπές στις επικοινωνίες του δικτύου.

Στην περίπτωση, όμως, που έχουμε επικοινωνία δύο μερών μέσω ενός ανοικτού, δημόσιου δικτύου, τότε κανείς δεν είναι σε θέση να γνωρίζει αν το δίκτυο παρακολουθείται και σε ποιο σημείο του και κανείς δεν μπορεί να εγγυηθεί ότι τα μηνύματα θα φθάσουν ακέραια στον προορισμό τους. Μερικά από τα μεγαλύτερα προβλήματα στην ηλεκτρονική επικοινωνία δύο μερών μέσω ενός ανοικτού, ανασφαλούς δικτύου, όπως είναι το Internet, είναι τα εξής :

Η επικοινωνία των δύο μερών μπορεί απλά να παρακολουθείται από τρίτους.
Το περιεχόμενο των μηνυμάτων που ανταλλάσσονται όχι μόνο μπορεί να παρακολουθείται από τρίτους αλλά και να αλλοιωθεί σκόπιμα απ’ αυτούς.
Να μην είναι δυνατόν να εξακριβωθεί η ταυτότητα των επικοινωνούντων μερών.
Πλαστοπροσωπία με τη χρήση πλαστής ηλεκτρονικής διεύθυνσης.

Η Ανάγκη για Ηλεκτρονική και Ψηφιακή Υπογραφή

Είναι γεγονός ότι η ηλεκτρονική επικοινωνία αποτελεί ένα αχανές κομμάτι της σύγχρονης τεχνολογίας που συνεχώς εξελίσσεται αλλά και που δημιουργεί ολοένα και περισσότερα, δισεπίλυτα προβλήματα. Αλλά στην ουσία, στην επικοινωνία αυτή όλα είναι απρόσωπα και στην πραγματικότητα αυτοί που επικοινωνούν είναι κάποιοι ηλεκτρονικοί υπολογιστές. Έχει χαθεί η φυσική και ενυπόγραφη σχέση που είχαμε συνηθίσει να εμπιστευόμαστε.

Δεν είμαστε σε θέση να γνωρίζουμε ποιος βρίσκεται μπροστά σ’ ένα πληκτρολόγιο, αν είναι όντως αυτός που ισχυρίζεται ότι είναι, αν τα λεγόμενά του είναι αληθινά, αν έχει κακόβουλους στόχους, όπως την προσβολή του υπολογιστή μας με ιό κοκ. Το πρόβλημα αυτό γίνεται ολοένα και πιο σοβαρό καθώς ένα μεγάλο μέρος της καθημερινής οικονομικής μας ζωής περνάει αναγκαστικά από το σύστημα της ηλεκτρονικής συναλλαγής, είτε πρόκειται για απλές εμπορικές συναλλαγές είτε για θέματα εθνικής άμυνας και ασφάλειας.

Μπροστά στους κινδύνους της απάτης, της πλαστοπροσωπίας, της ασφάλειας των συναλλαγών και της φερεγγυότητας των συναλλασσομένων, ψηφίστηκε και στην Ελλάδα η σχετική νομοθεσία (ΠΔ.150/2001), όπου καθιερώνεται η νομική ισοτιμία της ψηφιακής υπογραφής με την κανονική (ιδιόχειρη) υπογραφή, όπως την γνωρίζαμε μέχρι σήμερα. Η ψηφιακή υπογραφή αντιπροσωπεύει ένα συγκεκριμένο γνωστό πρόσωπο ή υπηρεσία ή επιχείρηση και είναι μοναδική σε παγκόσμιο επίπεδο, ενώ η χρήση της έχει όλες τις γνωστές συνέπειες της κλασικής υπογραφής.

Το ΠΔ.150/2001 περιλαμβάνει δύο ορισμούς για την ηλεκτρονική υπογραφή, τον γενικό και τον ορισμό της προηγμένης ηλεκτρονικής υπογραφής ή της ψηφιακής υπογραφής όπως είναι ευρύτερα γνωστή και η οποία ικανοποιεί περισσότερα εχέγγυα ασφαλείας.

Με τον όρο ηλεκτρονική υπογραφή εννοούνται «δεδομένα σε ηλεκτρονική μορφή, τα οποία είναι συνημμένα σ’ άλλα ηλεκτρονικά δεδομένα ή συσχετίζονται λογικά μ’ αυτά και τα οποία χρησιμεύουν ως μέθοδος απόδειξης της γνησιότητας». Με τον όρο προηγμένη ηλεκτρονική υπογραφή ή ψηφιακή υπογραφή ορίζεται η ηλεκτρονική υπογραφή η οποία παράγεται αποκλειστικά με τις διαδικασίες της υποδομής δημόσιας κλείδας (PKI – Public Key Infrastructure) και η οποία μπορεί και εξασφαλίζει την αυθεντικότητα του υπογράφοντος και την ακεραιότητα και το απόρρητο του μηνύματος.

Η προηγμένη ηλεκτρονική υπογραφή ή ψηφιακή υπογραφή θεωρείται υπό προϋποθέσεις ως ισοδύναμη της ιδιόχειρης υπογραφής. Οι Πάροχοι Υπηρεσιών Πιστοποίησης είναι φυσικά ή νομικά πρόσωπα που εκδίδουν αναγνωρισμένα πιστοποιητικά και παρέχουν υπηρεσίες που έχουν σχέση με τις ηλεκτρονικές υπογραφές. Η εποπτεία και ο έλεγχος των Παρόχων Υπηρεσιών Πιστοποίησης που είναι εγκατεστημένοι στην Ελλάδα γίνεται από την Ε.Ε.Τ.Τ. (Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων), αλλά δεν απαιτείται η χορήγηση άδειας στους Παρόχους Υπηρεσιών Πιστοποίησης.

Η ηλεκτρονική υπογραφή παρέχει εγγύηση της αυθεντικότητας και της μη αλλοίωσης του περιεχομένου των μηνυμάτων που διακινούνται ηλεκτρονικά. Έχει επιβεβαιωτική λειτουργία, καθώς εξασφαλίζει ότι το μήνυμα που λαμβάνει ο παραλήπτης ανήκει όντως στον αποστολέα και ότι είναι ακέραιο (όχι αλλοιωμένο), αλλά και εμπιστευτική λειτουργία, καθώς μόνο ο παραλήπτης είναι σε θέση να διαβάσει το μήνυμα και κανένας άλλος.

Η Συμμετρική Κρυπτογράφηση

Μια λύση στα ανωτέρω προβλήματα αποτελεί η κρυπτογράφηση (encryption) ή κωδικοποίηση (encoding) του μηνύματος που θέλουμε να αποστείλουμε. Από την άλλη μεριά, ο παραλήπτης του μηνύματος θα πρέπει να γνωρίζει τον αλγόριθμο ή κλειδί (key) ή και κλείδα της κρυπτογράφησης για να μπορέσει να αποκωδικοποιήσει και να διαβάσει το μήνυμα. Στην παραδοσιακή κρυπτογραφία ο αποστολέας και ο παραλήπτης του μηνύματος χρησιμοποιούν το ίδιο (κοινό) κλειδί. Ο αποστολέας κρυπτογραφεί το μήνυμα με βάση αυτό το κλειδί και ο παραλήπτης το αποκρυπτογραφεί με βάση το ίδιο κλειδί.

Αν τα δύο επικοινωνούντα μέρη βρίσκονται σε διαφορετικές τοποθεσίες, τότε θα πρέπει με κάποιον τρόπο να ανταλλάξουν το κοινό κλειδί που θα πρέπει να χρησιμοποιήσουν. Αυτό ενέχει τον κίνδυνο να υποκλαπεί το κλειδί από κάποιον τρίτο που παρακολουθεί τις γραμμές επικοινωνίας ή και να διαρρεύσει από το ένα από τα δύο μέρη. Στην κρυπτογραφία αυτού του τύπου, που αποκαλείται συμμετρική κρυπτογράφηση, θα πρέπει όλα τα κλειδιά που χρησιμοποιούνται να παραμένουν κρυφά, κάτι που είναι εξαιρετικά δύσκολο στα ανοικτά δίκτυα με πολλούς χρήστες, όπως είναι το Internet. Οι ειδικοί αναζήτησαν και βρήκαν μια άλλη λύση για το σοβαρό αυτό πρόβλημα.

Η Κρυπτογράφηση με Δημόσιο Κλειδί

Μια λύση στα παραπάνω προβλήματα αποτελεί η χρήση της ψηφιακής υπογραφής ή της ασύμμετρης κρυπτογράφησης. Μια ψηφιακή υπογραφή (digital signature) αποτελείται από ένα ζεύγος (συνδυασμό) κλειδιών, δηλ. από ένα δημόσιο κλειδί (public key), το οποίο μπορεί να αποκτήσει ο οποιοσδήποτε, και από ένα ιδιωτικό κλειδί (private key), το οποίο είναι αυστηρά προσωπικό για τον κάτοχό του και δεν πρέπει να κοινοποιηθεί σε κανέναν άλλον.

Τα κλειδιά αυτά λειτουργούν πάντα σε ζεύγος και το ένα κλειδί μπορεί να αποκρυπτογραφήσει ό,τι έχει κρυπτογραφηθεί με το άλλο κλειδί και αντίστροφα και επίσης είναι πρακτικά αδύνατη η δημιουργία του ενός κλειδιού όταν γνωρίζουμε το άλλο κλειδί του ζεύγους. Το ένα κλειδί χρησιμοποιείται για τη δημιουργία της υπογραφής και το άλλο για την επαλήθευσή της.

Για παράδειγμα, ένα μήνυμα ή και ένα αρχείο που έχει κρυπτογραφηθεί με το δημόσιο κλειδί ενός κατόχου, μπορεί να αποκρυπτογραφηθεί μόνο με το αντίστοιχο ιδιωτικό κλειδί του ίδιου κατόχου, πράγμα που σημαίνει ότι μόνο ο κάτοχος ενός δημόσιου κλειδιού μπορεί να διαβάσει τα μηνύματα που έχουν κρυπτογραφηθεί με το κλειδί αυτό καθώς μόνο αυτός γνωρίζει το αντίστοιχο ιδιωτικό κλειδί. Η διαδικασία αυτή εξασφαλίζει ότι το μήνυμα ή το αρχείο δεν μπορεί να παρακολουθείται ή και να αλλοιώνεται από κάποιον τρίτο που δεν κατέχει το αντίστοιχο ιδιωτικό κλειδί του δημοσίου κλειδιού με το οποίο κρυπτογραφήθηκε το μήνυμα ή το αρχείο. Στην περίπτωση αυτή λέμε ότι το μήνυμα είναι κρυπτογραφημένο.

Αντιστρόφως, ένα μήνυμα ή και ένα αρχείο που έχει κρυπτογραφηθεί με το ιδιωτικό κλειδί ενός κατόχου, μπορεί να αποκρυπτογραφηθεί μόνο με το αντίστοιχο δημόσιο κλειδί του ίδιου κατόχου, πράγμα που σημαίνει ότι ο οποιοσδήποτε μπορεί να το αποκρυπτογραφήσει και να το διαβάσει. Η διαδικασία αυτή εξασφαλίζει ότι το μήνυμα ή το αρχείο όντως προέρχεται από τον σωστό αποστολέα, εξακριβώνεται δηλαδή η ταυτότητα του αποστολέα. Στην περίπτωση αυτή λέμε ότι το μήνυμα είναι υπογεγραμμένο ψηφιακά. Η ασύμμετρη κρυπτογράφηση μπορεί να χρησιμοποιηθεί για την ταυτόχρονη πιστοποίηση της ταυτότητας του αποστολέα αλλά και για την κρυπτογράφηση του μηνύματος.

Ένα ακόμα πλεονέκτημα της ασύμμετρης κρυπτογράφησης είναι ότι τα μηνύματα που αποστέλλονται δεν είναι δυνατό να τροποποιηθούν κατά τη διάρκεια της μετάδοσής τους, καθώς η οποιαδήποτε αλλοίωσή τους τα καθιστά μη δυνάμενα να αποκρυπτογραφηθούν, κάτι που θα γίνει αμέσως αντιληπτό από τον παραλήπτη.

Το ζεύγος των δύο κλειδιών (δημόσιο και ιδιωτικό) αποκαλείται προηγμένη ηλεκτρονική υπογραφή ή και ψηφιακή υπογραφή και εφόσον έχει δημιουργηθεί με βάση κάποιες συγκεκριμένες προϋποθέσεις, επέχει θέση ιδιόχειρης υπογραφής τόσο στο ουσιαστικό όσο και στο δικονομικό δίκαιο, σύμφωνα με την ισχύουσα νομοθεσία και πιο συγκεκριμένα σύμφωνα με το ΠΔ.150/2001 «Προσαρμογή στην Οδηγία 99/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές», που δημοσιεύθηκε στο ΦΕΚ 125/Α’/2001.

Σύμφωνα με το Προεδρικό Διάταγμα, η ηλεκτρονική υπογραφή εξομοιώνεται με την ιδιόχειρη κάτω από αυστηρές προϋποθέσεις που θα εξασφαλίζουν την ταυτοπροσωπία αλλά και τη μοναδικότητα του φορέα της ηλεκτρονικής υπογραφής. Ο κάθε χρήστης θα μπορεί να εφοδιασθεί με τη δική του «ηλεκτρονική υπογραφή», μέσω διαπιστευμένων προς τον σκοπό αυτό εταιρειών, σε μορφή software καθώς και μ’ έναν μυστικό κωδικό αριθμό (PIN) για να είναι δυνατή η πρόσβαση στην ηλεκτρονική υπογραφή.

Το software αυτό θα μπορεί να εγκατασταθεί στον προσωπικό υπολογιστή του χρήστη ώστε να βάζει την ψηφιακή υπογραφή του όταν χρειασθεί ή θα μπορεί να το έχει μαζί του αποθηκευμένο σε μια μνήμη USB flash ώστε να μπορεί να το χρησιμοποιεί και από άλλους υπολογιστές.

Παραδείγματα Εφαρμογής της Ψηφιακής Υπογραφής

Ας υποθέσουμε ότι δύο οντότητες Α και Β, που μπορεί να είναι ιδιώτες, υπηρεσίες, εταιρείες ή και άλλοι φορείς, επιθυμούν να επικοινωνήσουν με τη χρήση ψηφιακών υπογραφών. Η ψηφιακή υπογραφή της οντότητας Α αποτελείται από το ζεύγος κλειδιών Ι_Α (ιδιωτικό κλειδί) και Δ_Α (δημόσιο κλειδί). Αντίστοιχα, η ψηφιακή υπογραφή της οντότητας Β αποτελείται από το ζεύγος κλειδιών Ι_Β (ιδιωτικό κλειδί) και Δ_Β (δημόσιο κλειδί). Τα ιδιωτικά κλειδιά Ι_Α και Ι_Β είναι γνωστά μόνο στις οντότητες Α και Β αντίστοιχα, ενώ τα δημόσια κλειδιά τους Δ_Α και Δ_Β είναι γνωστά σ’ όλον τον κόσμο.

Η οντότητα Α πριν στείλει το μήνυμά της, το κρυπτογραφεί κάνοντας χρήση του ιδιωτικού της κλειδιού Ι_Α και έτσι θα μπορεί ο καθένας να χρησιμοποιήσει το αντίστοιχο δημόσιο κλειδί Δ_Α για να το αποκρυπτογραφήσει. Η οντότητα Β είναι έτσι σίγουρη ότι το μήνυμα προέρχεται όντως από την οντότητα Α και όχι από κάποιον τρίτο που προσποιείται ότι είναι η οντότητα Α, καθώς το δημόσιο κλειδί Δ_Α μπορεί να αποκρυπτογραφήσει μόνο το αντίστοιχο ιδιωτικό κλειδί Ι_Α, το οποίο μόνο η οντότητα Α κατέχει.

Επίσης, η οντότητα Β είναι σίγουρη ότι το μήνυμα δεν έχει αλλοιωθεί καθ’ οδόν προς τον προορισμό του από κάποιον τρίτο, καθώς κανείς δεν είναι σε θέση να γνωρίζει το ιδιωτικό κλειδί Ι_Α που χρησιμοποιήθηκε για την κρυπτογράφησή του, αλλά ακόμα και στην περίπτωση που το κείμενο τροποποιηθεί, η οντότητα Β θα διαπιστώσει ότι το δημόσιο κλειδί δεν θα είναι σε θέση να αποκρυπτογραφήσει το μήνυμα και έτσι θα γνωρίζει ότι το μήνυμα είναι παραποιημένο.

Το παραπάνω είναι ένα παράδειγμα ενός ηλεκτρονικού μηνύματος που είναι υπογεγραμμένο με ψηφιακή υπογραφή, πρόκειται δηλαδή για ένα μήνυμα για το οποίο είμαστε σίγουροι για την ταυτότητα του αποστολέα του καθώς και για το ότι το μήνυμα αυτό είναι γνήσιο και όχι παραποιημένο. Στην περίπτωση τώρα που η οντότητα Α θελήσει να στείλει ένα μήνυμα στην οντότητα Β που να είναι όμως και κρυπτογραφημένο, δηλ. μόνο η οντότητα Β να μπορεί να το διαβάσει και κανένας άλλος, τότε θα πρέπει να κρυπτογραφήσει το μήνυμα και με το δημόσιο κλειδί Δ_Β της οντότητας Β.

Έτσι, μόνο η οντότητα Β θα μπορέσει να αποκρυπτογραφήσει το μήνυμα καθώς μόνο αυτή διαθέτει το αντίστοιχο ιδιωτικό κλειδί Ι_Β. Θα πρέπει επιπλέον να εφαρμόσει και το δημόσιο κλειδί Δ_Α της οντότητας Α για να μπορέσει να επαναφέρει το αρχικό μήνυμα. Το παραπάνω είναι ένα παράδειγμα ενός ηλεκτρονικού μηνύματος που είναι υπογεγραμμένο και κρυπτογραφημένο με ψηφιακή υπογραφή, πρόκειται δηλαδή για ένα μήνυμα για το οποίο όχι μόνο είμαστε σίγουροι για την ταυτότητα του αποστολέα του και για το ότι το μήνυμα είναι γνήσιο και όχι παραποιημένο αλλά και ότι κανείς άλλος δεν μπορεί να το δει και να το αποκρυπτογραφήσει εκτός από αυτόν για τον οποίο προορίζεται.

Για να μπορέσουν να έχουν εφαρμογή οι παραπάνω διαδικασίες, θα πρέπει να είμαστε σίγουροι ότι η ψηφιακή υπογραφή έχει εκδοθεί νόμιμα στο όνομα κάποιου χρήστη και ότι αυτός ο χρήστης έδωσε τα πραγματικά του στοιχεία όταν ζήτησε να εκδοθεί η ψηφιακή υπογραφή του. Η λύση είναι η ύπαρξη ενός αξιόπιστου οργανισμού, ο οποίος θα αναλάβει να εκδίδει και να πιστοποιεί τις ψηφιακές υπογραφές.

Η Συνάρτηση Κατακερματισμού

Μια πολύ πρακτική μέθοδος κρυπτογράφησης είναι η συνάρτηση κατακερματισμού ή κατατεμαχισμού (one way hash), σύμφωνα με την οποία από κάθε μήνυμα και ανεξαρτήτως του μεγέθους του δημιουργείται μια σύνοψή του, που είναι μια σειρά από bits με συγκεκριμένο πλήθος, για παράδειγμα 128 bits. Η σύνοψη του μηνύματος, που είναι γνωστή με τον όρο fingerprint ή message digest, αποτελεί ψηφιακή αναπαράσταση του μηνύματος και είναι μοναδική για το μήνυμα που αντιπροσωπεύει.

Αν αλλάξουμε έστω και μια τελεία στο μήνυμα, θα αλλάξει και η σύνοψή του, ενώ είναι πρακτικά αδύνατο δύο διαφορετικά μηνύματα να δώσουν την ίδια σύνοψη. Η μεγάλη αυτή ευαισθησία στα δεδομένα εισόδου αποτελεί μια από τις πολυτιμότερες ιδιότητες (δυνατότητες) των συναρτήσεων hash. Είναι επίσης πρακτικά αδύνατο να ανακτήσουμε το αρχικό μήνυμα αν γνωρίζουμε τη σύνοψή του. Ο αποστολέας δημιουργεί τη σύνοψη του μηνύματος (message digest) που θέλει να αποστείλει, χρησιμοποιώντας κάποιον αλγόριθμο κατακερματισμού και δημιουργείται έτσι μια σειρά από bits με συγκεκριμένο μήκος.

Ο αποστολέας κρυπτογραφεί μετά με το ιδιωτικό του κλειδί τη σύνοψη που έχει δημιουργηθεί. Η κρυπτογραφημένη σύνοψη (ψηφιακή υπογραφή) προσαρτάται στο αρχικό κείμενο και μεταδίδεται μαζί του, χωρίς να είναι απαραίτητη και η κρυπτογράφηση του αρχικού κειμένου. Στη λήψη, ο παραλήπτης αποσπά από το μήνυμα την κρυπτογραφημένη σύνοψη και εφαρμόζει στο κανονικό κείμενο τον ίδιο αλγόριθμο κατακερματισμού, ώστε να δημιουργήσει μια δική του σύνοψη. Μετά αποκρυπτογραφεί με το δημόσιο κλειδί του αποστολέα την κρυπτογραφημένη σύνοψη του μηνύματος και συγκρίνει τις δύο συνόψεις.

Αν οι δύο αυτές συνόψεις βρεθούν ίδιες, αυτό σημαίνει ότι το μήνυμα που έλαβε ο παραλήπτης είναι ακέραιο, ενώ αν βρεθούν διαφορετικές, θα σημαίνει ότι το μήνυμα αλλοιώθηκε κατά τη μετάδοσή του.

Οι Πάροχοι Υπηρεσιών Πιστοποίησης

Με τον όρο Πάροχος Υπηρεσιών Πιστοποίησης (ΠΥΠ) – Certification Services Provider ή Έμπιστη Τρίτη Οντότητα (ΕΤΟ) – Trusted Third party (TTP) ή και Δημόσια Αρχή Πιστοποίησης (Public Certification Authority) αναφερόμαστε σ’ έναν φορέα (οργανισμό) που είναι μια ανεξάρτητη επιχείρηση, η οποία μπορεί και προσφέρει υπηρεσίες ασφάλειας και εμπιστοσύνης στο ηλεκτρονικό εμπόριο. Ένας Πάροχος Υπηρεσιών Πιστοποίησης χορηγεί (εκδίδει) ψηφιακά πιστοποιητικά (ψηφιακές ή ηλεκτρονικές υπογραφές) σε μεμονωμένους χρήστες ή και σε εταιρείες και εξασφαλίζει ότι η ψηφιακή (ηλεκτρονική) υπογραφή που χρησιμοποιεί ένας χρήστης ανήκει όντως σ’ αυτόν (αποφυγή πλαστοπροσωπίας).

Ο Πάροχος Υπηρεσιών Πιστοποίησης είναι ένας ουδέτερος οργανισμός που εμπνέει επιχειρηματική εμπιστοσύνη σε μια ηλεκτρονική συναλλαγή και εμπλέκεται στη διαδικασία έκδοσης και πιστοποίησης των ψηφιακών υπογραφών. Ο Πάροχος Υπηρεσιών Πιστοποίησης θα πρέπει να τηρεί αρχείο με τα δημόσια κλειδιά των πιστοποιημένων οντοτήτων, έτσι ώστε να μπορεί να έχει πρόσβαση σ’ αυτά ο κάθε ενδιαφερόμενος. Ο ΠΥΠ θα πρέπει να πιστοποιεί την ταυτότητα των χρηστών πριν τους εκδώσει την ψηφιακή υπογραφή καθώς και να τηρεί αρχείο με τις ψηφιακές υπογραφές που έχουν λήξει ή που έχουν ανακληθεί ώστε να μην μπορούν να χρησιμοποιηθούν μετά τη λήξη τους ή και για λόγους κλοπής ή απώλειας. Το κόστος μιας τέτοιας υπηρεσίας είναι ανάλογο μ’ αυτό μιας συνδρομής σε μια πιστωτική κάρτα.

Το σημαντικότερο χαρακτηριστικό που θα πρέπει να έχει ένας Πάροχος Υπηρεσιών Πιστοποίησης είναι η αρχή της «τριτότητας» («thirdness»), ότι δηλαδή θα πρέπει να είναι ένας τρίτος, ουδέτερος οργανισμός που να μην συμμετέχει με κανέναν τρόπο στη συναλλαγή και να εμπνέει επιχειρηματική εμπιστοσύνη στις ηλεκτρονικές συναλλαγές. Σχετική νομοθεσία για τη λειτουργία των Παρόχων Υπηρεσιών Πιστοποίησης είναι ο Κανονισμός 248/71/2002 της Ε.Ε.Τ.Τ. (Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων), που δημοσιεύθηκε στο ΦΕΚ 603/Β’/16-5-2002, με τον τίτλο «Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής».

Η ευθύνη ενός Παρόχου Υπηρεσιών Πιστοποίησης αφορά την ακρίβεια όλων των πληροφοριών (στοιχείων) που περιέχονται στα πιστοποιητικά που εκδίδει, τη διαβεβαίωση ότι ο υπογράφων είναι όντως κάτοχος του ιδιωτικού κλειδιού, τη δημόσια ανακοίνωση της ανάκλησης ή της λήξης ενός πιστοποιητικού κ.ά. Οι εταιρείες που παρέχουν υπηρεσίες πιστοποίησης αλλά και βεβαιώσεις για την ασφάλεια της ηλεκτρονικής υπογραφής ελέγχονται από την Ε.Ε.Τ.Τ., η οποία έχει την εποπτεία και τον έλεγχο όλων των Παρόχων Υπηρεσιών Πιστοποίησης που είναι εγκατεστημένοι στην Ελλάδα και επιβάλλει πρόστιμα σ’ όσους Παρόχους ενεργούν ως διαπιστευμένοι χωρίς να είναι.

Η Υπηρεσία της Χρονοσήμανσης

Ένας Πάροχος Υπηρεσιών Πιστοποίησης, εκτός από την βασική λειτουργία της χορήγησης της ψηφιακής υπογραφής, μπορεί να προσφέρει και την υπηρεσία της χρονοσήμανσης, με την οποία τίθεται μια ηλεκτρονική σφραγίδα στο έγγραφο που αποστέλλει ένας χρήστης και η οποία δεν μπορεί να τροποποιηθεί ούτε να αμφισβητηθεί και καθορίζει τον ακριβή χρόνο της αποστολής του μηνύματος. Ένα πολύ χαρακτηριστικό παράδειγμα όπου μπορεί να βρει εφαρμογή η υπηρεσία της χρονοσήμανσης είναι η ηλεκτρονική υποβολή δηλώσεων ή αιτήσεων προς μια δημόσια υπηρεσία (π.χ. υποβολή καταστάσεων ΦΠΑ), όπου δεν γίνονται δεκτές αιτήσεις μετά από μια καθορισμένη προθεσμία.

Με την υπηρεσία της χρονοσήμανσης μπορεί να αποδειχθεί η ακριβής ημερομηνία και ώρα υποβολής της αίτησης-δήλωσης, όταν βέβαια προκύψει θέμα εκπρόθεσμης υποβολής.

Η Υπηρεσία της Αποθήκευσης Μηνυμάτων

Ένας Πάροχος Υπηρεσιών Πιστοποίησης μπορεί να λειτουργήσει και ως ηλεκτρονικός συμβολαιογράφος, στον οποίο μπορεί κάποιος τρίτος να καταθέσει κείμενα (αντίγραφα) που έχουν αξία, όπως ένα συμβόλαιο ή μια φορολογική δήλωση, έτσι ώστε σ’ οποιονδήποτε φορολογικό ή άλλον έλεγχο να μπορεί να πιστοποιηθεί ποιο ήταν το κείμενο που πράγματι εστάλη αρχικά.

Το κείμενο θα πρέπει να είναι ψηφιακά υπογεγραμμένο ή και κρυπτογραφημένο και σε επικείμενο έλεγχο θα πρέπει να προσκομισθεί το ιδιωτικό κλειδί για την αποκρυπτογράφησή του. Το κείμενο θα μπορεί να είναι και χρονοσημασμένο.

Γενικά για την Κρυπτογραφία και την Κρυπτογράφηση

Η κρυπτογράφηση αποτελεί μια πολύ βασική τεχνολογία στον τομέα της ασφάλειας του Internet καθώς η μετάδοση εμπιστευτικών δεδομένων μέσω του Διαδικτύου έχει γίνει κοινός τόπος σήμερα και θα πρέπει να βρεθούν μηχανισμοί προστασίας του απαραβίαστου του προσωπικού και του επαγγελματικού απορρήτου των χρηστών του Internet. Με τον όρο Κρυπτογραφία εννοούμε τη μετατροπή ενός αρχικού κειμένου σε μορφή που δεν είναι κατανοητή από κάποιον τρίτο και που αποκαλείται κρυπτογραφημένο κείμενο. Η μετατροπή αυτή γίνεται από τον αποστολέα με τη χρήση κάποιας μαθηματικής συνάρτησης.

Η Κρυπτογράφηση είναι μια επιστήμη που στηρίζεται στα μαθηματικά για την κωδικοποίηση (encoding) και αποκωδικοποίηση (decoding) των δεδομένων που διακινούνται μέσω του Διαδικτύου. Με τη σωστή χρήση των μεθόδων κρυπτογράφησης, τα ευαίσθητα προσωπικά δεδομένα των χρηστών είναι προσβάσιμα μόνο απ’ όσους διαθέτουν την κατάλληλη εξουσιοδότηση. Με τις τεχνολογίες της κρυπτογράφησης μπορούμε να εξασφαλίσουμε ότι ένα μήνυμα θα μπορεί να διαβασθεί μόνο από τον παραλήπτη του μηνύματος καθώς στα ενδιάμεσα στάδια απ’ όπου περνάει το μήνυμα, αυτό εμφανίζεται με ακατάληπτους χαρακτήρες και είναι μη αναγνωρίσιμο.

Τα βασικά προβλήματα που έχουν σχέση με το απόρρητο των πληροφοριών που διακινούνται στο Internet είναι τα εξής τρία :

Η εξασφάλιση ότι ο αποστολέας είναι αυτός που ισχυρίζεται ότι είναι, που είναι γνωστό με τον όρο πιστοποίηση (authentication).
Η εξασφάλιση ότι το μήνυμα ή το κείμενο που λάβαμε είναι το σωστό και ότι δεν έχει τροποποιηθεί από κάποιον τρίτο κατά την πορεία του από τον αποστολέα ως τον παραλήπτη, που είναι γνωστό με τον όρο ακεραιότητα (integrity).
Η εξασφάλιση ότι μόνο εμείς μπορούμε να διαβάσουμε ένα μήνυμα που απευθύνεται μόνο σ’ εμάς, που είναι γνωστό με τον όρο εμπιστευτικότητα (confidentiality).
Η εξασφάλιση ότι τα μέρη που εμπλέκονται σε μια ηλεκτρονική επικοινωνία δεν θα μπορούν να αρνηθούν εκ των υστέρων τη συμμετοχή τους σ’ αυτήν, που είναι γνωστό με τον όρο μη αποποίηση ευθύνης (non-repudiation).

Το αρχικό μήνυμα αποκαλείται απλό κείμενο (plaintext), ενώ το ακατανόητο μήνυμα που προκύπτει από την κρυπτογράφηση (μετατροπή) του απλού κειμένου αποκαλείται κρυπτογράφημα (ciphertext). Κρυπτογράφηση (encryption) αποκαλείται η μετατροπή ενός απλού και κατανοητού κειμένου (plaintext) σε μια μη κατανοητή μορφή (κρυπτογράφημα, ciphertext) με την εφαρμογή ενός κατάλληλου αλγορίθμου, ενώ αποκρυπτογράφηση (decryption) αποκαλείται η ανάκτηση του αρχικού απλού κειμένου από το κρυπτογράφημα αφού εφαρμοσθεί ο αντίστροφος αλγόριθμος.

Οι αλγόριθμοι κρυπτογράφησης λειτουργούν σε συνδυασμό μ’ ένα κλειδί ή κλείδα (key), για να μπορέσει να γίνει η κρυπτογράφηση του απλού κειμένου. Αν για το ίδιο απλό κείμενο χρησιμοποιήσουμε διαφορετικά κλειδιά, θα δημιουργηθούν και διαφορετικά κρυπτογραφήματα.

Οι Μέθοδοι Κρυπτογράφησης

Δύο είναι οι βασικές μέθοδοι κρυπτογράφησης, η συμμετρική και η ασύμμετρη κρυπτογράφηση. Στη συμμετρική κρυπτογράφηση χρησιμοποιούμε το ίδιο κλειδί τόσο για την κρυπτογράφηση όσο και για την αποκρυπτογράφηση ενός μηνύματος. Το κοινό αυτό κλειδί θα πρέπει να είναι γνωστό μόνο στα δύο επικοινωνούντα μέρη και κατά συνέπεια η μετάδοσή του από το ένα μέρος στο άλλο θα πρέπει να γίνει με απόλυτη ασφάλεια, κάτι που δεν είναι πάντα εφικτό και καθιστά έτσι τη μέθοδο της συμμετρικής κρυπτογράφησης ως μη απόλυτα αποτελεσματική.

Από τις πιο γνωστές μεθόδους συμμετρικής κρυπτογράφησης είναι ο αλγόριθμος DES (Data Encryption Standard), που χρησιμοποιείται και από την κυβέρνηση των ΗΠΑ, και το σύστημα Kerberos του γνωστού Πανεπιστημίου MIT. Στην ασύμμετρη κρυπτογράφηση ή κρυπτογράφηση δημόσιου κλειδιού χρησιμοποιούμε διαφορετικά κλειδιά για την κρυπτογράφηση και την αποκρυπτογράφηση ενός μηνύματος. Αυτά είναι το δημόσιο κλειδί (public key) και το ιδιωτικό κλειδί (private key), τα οποία έχουν τις εξής πολύ σημαντικές ιδιότητες :

Ένα μήνυμα που έχει κρυπτογραφηθεί με το δημόσιο κλειδί μπορεί να αποκρυπτογραφηθεί μόνο με το αντίστοιχο ιδιωτικό κλειδί και αντίστροφα.
Αν μας είναι γνωστό το ένα κλειδί δεν μπορούμε να δημιουργήσουμε το άλλο κλειδί.

Η αρχική ιδέα για την κρυπτογράφηση με τη χρήση δημόσιου και ιδιωτικού κλειδιού διατυπώθηκε το 1976 και το 1977 υλοποιήθηκε το κρυπτοσύστημα RSA, που ήταν η πρώτη εφαρμογή ενός συστήματος κρυπτογραφίας που ήταν βασισμένο σε δημόσιο κλειδί. Το δημόσιο κλειδί δεν είναι μυστικό και μπορεί να το αποκτήσει ο οποιοσδήποτε ενδιαφέρεται, ενώ το ιδιωτικό κλειδί χρησιμοποιείται μόνο από τον κάτοχό του και δεν κοινοποιείται σε κανέναν άλλον.

Ο κάθε χρήστης κατέχει ένα ζεύγος κλειδιών, δημόσιο και ιδιωτικό, και όταν στέλνει ένα μήνυμα κωδικοποιημένο με το ιδιωτικό του κλειδί, το μήνυμα αυτό θα μπορεί να αποκωδικοποιηθεί από οποιονδήποτε γνωρίζει το δημόσιο κλειδί του, έχουμε δηλαδή πιστοποίηση του αποστολέα και ακεραιότητα του μηνύματος. Για την πρόσβαση στο ιδιωτικό κλειδί είναι απαραίτητη η χρήση μιας συνθηματικής φράσης (pass-phrase), που είναι κάτι ανάλογο του γνωστού μας κωδικού ή συνθηματικού (password), αλλά πολύ πιο ασφαλές.

Ενώ όταν ένας χρήστης στέλνει ένα μήνυμα κωδικοποιημένο με το δημόσιο κλειδί του παραλήπτη, το μήνυμα αυτό θα μπορεί να αποκωδικοποιηθεί μόνο με το αντίστοιχο ιδιωτικό του κλειδί του παραλήπτη, οπότε μόνο ο παραλήπτης θα μπορέσει να το διαβάσει και κανένας άλλος και στην περίπτωση αυτή έχουμε εμπιστευτικότητα του μηνύματος. Η ασύμμετρη κρυπτογράφηση μπορεί να παρέχει πολύ μεγαλύτερη ασφάλεια στις επικοινωνίες σε σχέση με τη συμμετρική κρυπτογράφηση, έχει όμως το μειονέκτημα ότι οι αλγόριθμοί της είναι πολύ βραδύτεροι καθώς απαιτούνται πάρα πολλοί υπολογισμοί.

Η Υποδομή Δημόσιου Κλειδιού

Με την Υποδομή Δημόσιου Κλειδιού (PKI – Public Key Infrastructure), η οποία είναι ένας συνδυασμός από προγράμματα, τεχνολογίες κρυπτογράφησης και υπηρεσίες, μπορεί να πιστοποιηθεί (επαληθευθεί) η ταυτότητα ενός φυσικού προσώπου που συναλλάσσεται στο Internet καθώς και να προστατευθεί η ασφάλεια των διαδικτυακών συναλλαγών. Οι βασικές υπηρεσίες μιας Υποδομής Δημόσιου Κλειδιού είναι οι εξής :

Εμπιστευτικότητα (Confidentiality). Είναι η κρυπτογράφηση (κωδικοποίηση) των δεδομένων ή και των μηνυμάτων και συνεπώς η προστασία τους από τρίτα, μη εξουσιοδοτημένα άτομα. Αυτό σημαίνει ότι τα δεδομένα ή τα μηνύματα δεν μπορεί ούτε καν να τα δει κάποιος τρίτος, πόσο μάλλον να τα τροποποιήσει.
Ακεραιότητα (Integrity). Είναι η προστασία των δεδομένων ή και των μηνυμάτων από ενδεχόμενη τροποποίησή τους από τρίτα, μη εξουσιοδοτημένα άτομα. Αυτό σημαίνει ότι τα δεδομένα ή τα μηνύματα μπορεί να τα δει κάποιος τρίτος αλλά όχι και να τα τροποποιήσει.
Μη Άρνηση Αποδοχής (Non-Repudiation). Σημαίνει με απλά λόγια ότι αυτός που έστειλε το μήνυμα δεν έχει τη δυνατότητα να ισχυρισθεί ότι δεν ήταν αυτός που το δημιούργησε και το έστειλε.
Πιστοποίηση (Authentication). Είναι η επιβεβαίωση της ταυτότητας του αποστολέα, η εξακρίβωση δηλαδή ότι όντως είναι αυτός που ισχυρίζεται ότι είναι και βασίζεται στον συνδυασμό του δημόσιου και του ιδιωτικού κλειδιού.

Οι Αρχές Πιστοποίησης (CA – Certification Authorities) αναλαμβάνουν να εκδώσουν τα πιστοποιητικά (certificates) με τα οποία μπορεί να πιστοποιηθεί (εξακριβωθεί) η ταυτότητα ενός προσώπου αλλά και ενός δικτυακού τόπου. Τα πιστοποιητικά δικτυακών τόπων περιέχουν πληροφορίες που πιστοποιούν ότι μια συγκεκριμένη ιστοσελίδα είναι γνήσια και ασφαλής. Δύο από τα πιο γνωστά πρωτόκολλα ασφαλείας ιστοσελίδων είναι το SSL (Secure Sockets Layer), που δημιουργήθηκε από την εταιρεία Netscape, και το SET (Secure Electronic Transactions), που αναπτύχθηκε από κοινού από τις εταιρείες Visa και MasterCard.

Οι πιο γνωστοί φυλλομετρητές υποστηρίζουν το πρωτόκολλο SSL και την κρυπτογράφησή του και ενημερώνουν τον χρήστη ότι βρίσκεται σε ασφαλή τοποθεσία και μπορεί συνεπώς να στέλνει πληροφορίες ακίνδυνα. Με το πρωτόκολλο αυτό οι πληροφορίες ανταλλάσσονται κωδικοποιημένες (κρυπτογραφημένες) και γίνεται ακόμη και έλεγχος της αυθεντικότητας (γνησιότητας) της ιστοσελίδας.

Το Πρόγραμμα PGP (Pretty Good Privacy)

Το πρόγραμμα PGP (Pretty Good Privacy), που αποτελεί δημιούργημα του καθηγητή του ΜΙΤ Philip Zimmermann το έτος 1991, είναι από τα πιο γνωστά προγράμματα κρυπτογράφησης ηλεκτρονικού ταχυδρομείου και αρχείων και οι αλγόριθμοι που χρησιμοποιεί είναι γνωστοί και ασφαλείς. Ο πηγαίος κώδικάς του (source code) είναι διαθέσιμος (ανοικτός) στους χρήστες, ενώ το πρόγραμμα χρησιμοποιείται εδώ και πολύ καιρό και θεωρείται σε μεγάλο βαθμό αξιόπιστο. Χρησιμοποιεί την ασύμμετρη μέθοδο κρυπτογράφησης με δημόσιο και ιδιωτικό κλειδί.

Αν και το πρόγραμμα είναι σε μεγάλο βαθμό αξιόπιστο για απλές εφαρμογές ταυτοποίησης χρηστών, δεν θεωρείται κατάλληλο για εφαρμογές ηλεκτρονικού εμπορίου (e-commerce) καθώς και γι’ όσες εφαρμογές απαιτούν ισχυρή ταυτοποίηση. Ο δημιουργός του διώχθηκε ποινικά από τις αρχές των ΗΠΑ, καθώς με τη δωρεάν διανομή του προγράμματός του παραβίασε την ισχύουσα τότε νομοθεσία περί απαγόρευσης εξαγωγής προγραμμάτων κρυπτογράφησης, τα οποία αντιμετωπίζονταν ως στρατιωτικό υλικό. Ο νομός τελικά τροποποιήθηκε το 2000 μετά από πίεση της βιομηχανίας πληροφορικής.

Οι αρχές χρησιμοποίησαν ως βασικό επιχείρημά τους το ότι η τεχνική αυτή της κρυπτογράφησης θα μπορούσε να μετατραπεί σε πανίσχυρο όπλο στα χέρια τρομοκρατών, για να μπορούν, για παράδειγμα, να ανταλλάσσουν μεταξύ τους e-mails με άγνωστο και επικίνδυνο περιεχόμενο. Ο κ. Philip Zimmermann ισχυρίζεται ότι είναι καλύτερο για την κοινωνία μας να διαθέτει ένα χρήσιμο εργαλείο προστασίας της ιδιωτικότητας και ότι εκτός από το κυνήγι των τρομοκρατών, οι αρχές έχουν την υποχρέωση να προστατεύουν τις επικοινωνίες και τις συναλλαγές των απλών πολιτών.

Το PGP, πιο συγκεκριμένα το PGPi, στη διεθνή έκδοσή του, μπορούμε να κατεβάσουμε και να χρησιμοποιήσουμε δωρεάν από την επίσημη ιστοσελίδα http://www.pgpi.ogr. Η εμπορική έκδοση του προγράμματος PGP αναπτύσσεται στις ΗΠΑ από την γνωστή εταιρεία Network Associates (βλ. McAfee) και εξαιτίας των αυστηρών τοπικών νόμων περί απαγόρευσης εξαγωγής κρυπτογραφικού υλικού, απαγορεύεται η χρήση του εκτός ΗΠΑ. Περισσότερες πληροφορίες υπάρχουν στην ιστοσελίδα http://www.pgp.com.

Κατά την εγκατάσταση του προγράμματος στον υπολογιστή μας, θα πρέπει να ακολουθήσουμε κάποια βήματα για τη δημιουργία ενός νέου ζεύγους κλειδιών. Μπορούμε να επιλέξουμε ένα επίπεδο ασφάλειας για τα κλειδιά μας από 1.024, 1.536, 2.048, 3.072 ή 4.096 bits. Όσο περισσότερα bits επιλέξουμε, τόσο πιο ασφαλή θα είναι τα κλειδιά που θα δημιουργήσουμε, αλλά θα αργήσει πολύ η δημιουργία τους και θα είναι πολύ αργά και στη χρήση τους. Οι τιμές από 1.024 έως 2.048 bits είναι υπεραρκετές για τις περισσότερες εφαρμογές.

Εκεί που θα πρέπει να δώσουμε πολύ προσοχή είναι στην επιλογή της συνθηματικής φράσης (passphrase), για να μπορούμε να κρυπτογραφούμε τα μηνύματά μας με το ιδιωτικό κλειδί. Για να κρυπτογραφήσουμε ένα μήνυμα ή ένα αρχείο, το αντιγράφουμε πρώτα στο Πρόχειρο (Clipboard), κάνουμε μετά δεξί κλικ πάνω στο εικονίδιο με το λουκέτο που έχει δημιουργήσει το PGP στη γραμμή εργασιών και επιλέγουμε Clipboard και Encrypt από το πτυσσόμενο μενού.

Θα πρέπει στο σημείο αυτό να δηλώσουμε τον ή τους παραλήπτες του μηνύματος και αν θέλουμε να το κρυπτογραφήσουμε για δική μας χρήση, θα πρέπει να δηλώσουμε ως παραλήπτη τον εαυτό μας. Μόλις κάνουμε κλικ στο ΟΚ, το κρυπτογραφημένο μήνυμα θα είναι διαθέσιμο από το Πρόχειρο του υπολογιστή μας, απ’ όπου θα μπορούμε να το πάρουμε με απλή επικόλληση. Το κρυπτογραφημένο αυτό μήνυμα θα μπορεί τώρα να αποκρυπτογραφηθεί μόνο από το αντίστοιχο ιδιωτικό κλειδί του δημοσίου κλειδιού με το οποίο κρυπτογραφήθηκε. Αυτό σημαίνει ότι δεν θα μπορούμε να το διαβάσουμε ούτε εμείς που το δημιουργήσαμε, στην περίπτωση που το κρυπτογραφήσαμε με το δημόσιο κλειδί ενός άλλου χρήστη.

Αν κάνουμε δεξί κλικ πάνω στο εικονίδιο με το λουκέτο που έχει δημιουργήσει το PGP στη γραμμή εργασιών και επιλέξουμε PGPkeys από το πτυσσόμενο μενού, θα μπορούμε να δούμε όλα τα δημόσια κλειδιά των άλλων χρηστών που έχουμε αποθηκεύσει στον υπολογιστή μας. Ένα δημόσιο κλειδί μπορούμε να το λάβουμε με e-mail ή με μια δισκέτα ως ένα απλό αρχείο κειμένου .txt ή και να το κατεβάσουμε (download) από το Internet.

Για να υπογράψουμε ψηφιακά ένα μήνυμα, να το κρυπτογραφήσουμε δηλαδή με το ιδιωτικό μας κλειδί, πρώτα το αποθηκεύουμε στο Πρόχειρο και μετά κάνουμε δεξί κλικ πάνω στο εικονίδιο με το λουκέτο που έχει δημιουργήσει το PGP στη γραμμή εργασιών και επιλέγουμε Clipboard και Sign από το πτυσσόμενο μενού. Το μήνυμα θα μπορεί να αποκρυπτογραφηθεί με το αντίστοιχο δικό μας δημόσιο κλειδί, αλλά θα είναι ψηφιακά υπογεγραμμένο και ακέραιο, δηλαδή οι παραλήπτες θα είναι σίγουροι για την αυθεντικότητά του.

Αν επιλέξουμε Clipboard και Encrypt & Sign από το πτυσσόμενο μενού, τότε το μήνυμα θα κρυπτογραφηθεί με το δικό μας ιδιωτικό κλειδί καθώς και με το δημόσιο κλειδί όποιου ή όποιων παραληπτών επιλέξουμε. Τέλος, για την αποκρυπτογράφηση ενός μηνύματος, το οποίο έχει κρυπτογραφηθεί από κάποιον άλλον με το δικό μας δημόσιο κλειδί και το οποίο λαμβάνουμε ως παραλήπτες, πρώτα το αποθηκεύουμε στο Πρόχειρο και μετά κάνουμε δεξί κλικ πάνω στο εικονίδιο με το λουκέτο που έχει δημιουργήσει το PGP στη γραμμή εργασιών και επιλέγουμε Clipboard και Decrypt & Verify από το πτυσσόμενο μενού.

Το Πρόγραμμα WinPT (Windows Privacy Tools)

Το WinPT (Windows Privacy Tools) είναι ένα πρόγραμμα ελεύθερου λογισμικού για την κρυπτογράφηση μηνυμάτων και τη δημιουργία ψηφιακών υπογραφών. Με την εγκατάστασή του θα μας ζητήσει να δημιουργήσουμε ένα ζεύγος κλειδιών ή να εισάγουμε ένα ήδη υπάρχον.

Για να κρυπτογραφήσουμε, αποκρυπτογραφήσουμε ή και να υπογράψουμε κάποιο αρχείο, πρέπει να κάνουμε δεξί κλικ πάνω του και να επιλέξουμε την αντίστοιχη λειτουργία από το μενού WinPT. Για να αποθηκεύσουμε το δημόσιο κλειδί σ’ ένα ξεχωριστό αρχείο, ανοίγουμε τον Key Manager, κάνουμε δεξί κλικ στο ζεύγος κλειδιών που θέλουμε και επιλέγουμε Cope Key to Clipboard. Μπορούμε μετά να το επικολλήσουμε στο Σημειωματάριο (Notepad) των Windows και να το αποθηκεύσουμε ως ένα απλό αρχείο κειμένου.

Το Πρόγραμμα Steganos Security Suite

Το Steganos Security Suite είναι ένα σύνολο προγραμμάτων που βασίζονται σε τεχνικές συμμετρικής κρυπτογράφησης αλλά δεν είναι δωρεάν. Από τα χαρακτηριστικά του, τα βασικότερα είναι η δυνατότητα δημιουργίας έως και τεσσάρων εικονικών κρυπτογραφημένων δίσκων όπου η πρόσβαση σ’ αυτούς απαιτεί ειδικό κωδικό ασφαλείας, η δημιουργία ενός κρυπτογραφημένου CD με δεδομένα της επιλογής μας και η δυνατότητα μεταμφίεσης των κρυπτογραφημένων δεδομένων σε αρχεία ήχου ή εικόνας, μια διαδικασία που αποκαλείται στεγανογραφία.

Η Εταιρεία VeriSign

Η εταιρεία VeriSign είναι από τις πιο γνωστές Αρχές Πιστοποίησης (CA, Certification Authority) που δραστηριοποιούνται στο Διαδίκτυο, αναλαμβάνει δηλαδή την παροχή ψηφιακών ταυτοτήτων ή ψηφιακών υπογραφών (digital signatures) σε απλούς χρήστες ή και σε εταιρείες ή υπηρεσίες. Μια τέτοια Αρχή είναι ένας έμπιστος οργανισμός ή εταιρεία που εκδίδει μετά από σχετική αίτηση τα λεγόμενα πιστοποιητικά (certificates). Ένα πιστοποιητικό εξασφαλίζει ότι ο κάτοχός του πράγματι διαθέτει το δημόσιο κλειδί που ισχυρίζεται ότι διαθέτει και πριν από την έκδοση του πιστοποιητικού, η Αρχή Πιστοποίησης θα πρέπει να διεξάγει έρευνα σχετικά με την αξιοπιστία του πελάτη της και έχει κάθε δικαίωμα να μην εκδώσει ή και να ακυρώσει αργότερα ένα ψηφιακό πιστοποιητικό.

Εκτός από τα πιστοποιητικά που αφορούν μεμονωμένους χρήστες, υπάρχουν και πιστοποιητικά που πιστοποιούν ολόκληρους δικτυακούς τόπους. Αυτό είναι πολύ σημαντικό για τις υπηρεσίες του ηλεκτρονικού εμπορίου (e-commerce), ώστε να μπορούμε να είμαστε σίγουροι ότι η τράπεζα ή το ηλεκτρονικό κατάστημα με το οποίο επιθυμούμε να κάνουμε μια συναλλαγή, είναι πράγματι αυτό που φαίνεται και δεν πρόκειται για απάτη. Οι πιστοποιημένοι δικτυακοί τόποι φέρουν το σήμα (εικόνα) της αντίστοιχης αρχής πιστοποίησης και μπορούμε να δούμε αυτό το σήμα αν κάνουμε κλικ πάνω στην εικόνα του.

Για να αποκτήσουμε ένα ψηφιακό πιστοποιητικό από την εταιρεία VeriSign, αφού συνδεθούμε με τον δικτυακό τόπο http://www.verisign.com, κάνουμε εγγραφή (enroll now) και ακολουθώντας τέσσερα απλά βήματα μπορούμε να αποκτήσουμε τη δική μας ψηφιακή ταυτότητα Για να ενεργοποιήσουμε μια ψηφιακή ταυτότητα στο πρόγραμμα ηλεκτρονικής αλληλογραφίας Outlook Express, πηγαίνουμε στην επιλογή Λογαριασμοί του μενού Εργαλεία, επιλέγουμε τον λογαριασμό αλληλογραφίας που θέλουμε και μετά Ιδιότητες. Μετά πηγαίνουμε στην καρτέλα Ασφάλεια και επιλέγουμε το Χρήση ψηφιακής ταυτότητας κατά την αποστολή ασφαλών μηνυμάτων. Από το πλήκτρο Ψηφιακή ταυτότητα επιλέγουμε την ψηφιακή ταυτότητα που μόλις εγκαταστήσαμε.

Μπορούμε τώρα να στέλνουμε και να λαμβάνουμε κρυπτογραφημένα και υπογεγραμμένα μηνύματα κάθε φορά που χρησιμοποιούμε το Outlook Express για την αποστολή και λήψη e-mails.

Επιστροφή